雲端科技發展迅速，市場上有著廣泛的雲端服務供選擇，助企業實現數碼轉型以保持競爭力。市場調查公司 Gartner 高級研究主管 Elias Khnaser 曾表示，選擇正確的雲端服務是 IT 領導者所必須掌握的技能，因為它主宰著物聯網、人工智能等新世代應用的成敗。要真正成功實現轉型，首要秘訣是在芸芸眾多的雲端服務商中，揀選值得信賴的供應商，借助合適的雲端科技及專才支持其發展目標。不過，選擇的過程可謂複雜困難，考慮因素多，企業宜就供應商的四個方面先了解清楚： 1. 供應商的技術及服務支援能否滿足企業的需要？ 雲轉移並非單單將數據或應用程式由公司伺服器搬上雲端，還須各種技術的配合。因為雲端服務供應商採用的硬件架構、技術框架或管理標準各異，與企業本身採用的不盡相同，如兩者存在的差異過大，便難以將企業內部的私有雲與雲端服務供應商所提供的公共雲接軌；所以在採用合適的解決方案前，必須全面評估供應商所提供的服務，是否能夠理解企業本身需要而作出配合？由雲轉移的資詢、部署到實行的過程中，會否得到相關專才持續向企業提供全面支援及優化建議，加快採用雲端技術和數碼轉型？ 2. 供應商的發展藍圖是否符合企業的創新路向？ 除了著重當下，企業還需放眼將來。不論是 IaaS （Infrastructure as a Service,基礎設施即服務）還是SaaS （Software…

https://www.youtube.com/embed/LylBbr_IK74?wmode=transparent&rel=0&feature=oembed 後門（Backdoor）係近期非常熱門嘅話題，成日有人爭拗後門係有心擺入去，漏洞（Vulnerability）就係無心之失。不過，網絡安全組織 VXRL 成員 Boris So 就話其實有心定無意並唔重要，因為出嚟嘅結果就係可以俾黑客偷入嚟做嘢。今次佢就同大家分析下究竟常見嘅後門有幾多種先。 「近嚟國際關係緊張，所以 backdoor 就成為咗爭拗問題。以前大家都覺得後門係特登整出嚟，將一啲唔需要、唔應該存在嘅功能放喺系統入面，例如無緣無故 send 走啲檔案，又或者俾人隱密進入系統等等。」Boris 指出至於工程師、開發者為咗方便維修而設置嘅「後門」，就被叫做 Trapdoor。「如果純綷從技術角度分析，其實係睇唔到有心定無意，因為大家做到嘅嘢都係一樣；舉個例，原本你部手機係 unlock 唔到，但透過一啲方法可以解鎖或 root 機，咁就好難拗呢啲方法係咪後門。」 Boris 以之前被大規模封殺嘅公司所推出嘅電腦為例，「之前俾人搵到佢嘅…

老闆成日同我講，公司budget好緊架，應慳則慳啦，IT嘅嘢夠用就得啦，唔好出大穫嘢就得架喇。於是尋日開會我就索性拎咗單新聞俾佢睇，佢睇完就即刻轉晒軚，話一間公司嘅網絡保安其實好緊要架，仲即時批咗大筆錢落嚟添置新器材。 乜嘢新聞咁巴閉？咪就係英航俾人判罰天價罰款囉！事緣舊年9月，英航俾一個名為Magecart嘅黑客組織睇中，佢哋一向玩慣card skimmer呢個數碼版信用卡讀取器程式，於是搵方法拎到英航網頁嘅登入權限，再將card skimmer 嘅 script 植入俾錢買機票嘅網頁，結果成功喺舊年8月21號到9月5號期間，偷走約38萬客戶嘅名字、電郵地址、信用卡等資料，詳細案情可以睇番我哋舊文（https://bit.ly/2CPy0f7 ）。 經過一輪調查之後，英國資訊專員辦公室（ICO）早兩日就決定向英航罰款1.8億英鎊，係ICO歴來開出最大額罰款，差唔多係英航2017財政年度全球營業額嘅1.5%，諗起都好肉赤！英航行政總裁Alex Cruz當然立即出嚟呼冤，話對ICO嘅決定感到驚訝和失望，英航對偷取客戶資料嘅犯罪行為作出快速反應，並未發現與盜竊相關嘅賬戶存在欺詐行為嘅證據……咁佢哋仲有28日上訴期嘅，或者可以減到罰款都未定。 可能大家會問，點解今次判得咁甘？之前Facebook、Yahoo、Equifax發生嘅事故仲大單啦，點解都係罰50萬英鎊就搞掂？原來係因為舊年5月歐盟通過新私隱條例《一般資料保護規則（GDPR）》之後，加重咗罰則，最高罰款可以去到全球營業額嘅4%，所以今次英航其實係未去到最高罰款嘅，但撞正事件喺GDPR通過之後先發生就冇法子啦，但亦都俾到教訓各大小企業嘅老闆們，唔好睇少保護客人資料呢樣嘢，唔係分分鐘賺埋都唔夠交罰款！ 相關文章：【謎底已經解開！】英航資料洩露案真相大白？

數碼轉型是當今企業必須面對的問題，而在複雜性上，傳統大企業的業務眾多，透明度較低，加上採用的系統亦未必能追上新科技，以至接軌上出現斷層，轉型難度自然大增，要達成目標，便要抱著鋼鐵般的決心。成立接近六十年的華懋集團（Chinachem Group），主要業務為地產發展及物業管理，同時間亦有經營酒店業務；旗下僱用的員工數千，包括全職及兼職員工，可想而之單是處理人事管理問題已相當複雜。集團在去年十月，宣布選用企業管理及商務解決方案供應商 SAP 的軟件及雲端解決方案，以助企業轉行數碼轉型，華懋集團執行董事兼行政總裁蔡宏興笑說，公司的成與敗便全靠這次轉身。 去年十月，華懋集團宣布採用 SAP 的軟件及雲端解決方案，以助企業轉行數碼轉型。 「數碼轉型已是不可避免，公司內部早已開展轉型的研究，所以當我去年加入集團時，手頭上已有很多研究資料給我參考。」蔡宏興指出雖然有很多公司提供解決方案，但他強調今次華懋並非單純是買產品，而是要選擇一個中長線的合作伙伴，考慮到 SAP 的豐富經驗及有較長遠的支援計劃，同時亦較能了解集團面對的問題，所以便決定與對方合作，為集團的長期轉型戰揭開序幕。 聆聽思考發展空間 蔡宏興在去年接受傳媒訪問時，曾表示數碼轉型會先由人力資源及會計部的企業資源計劃（Enterprise Resource Planning, ERP）系統開始，並預計用年半時間完成。至今已約九個月，進度如何？他回應說進度令人滿意，預計很快可以讓同事測試這個系統的運作。「同事的意見很重要，雖然在職位架構下各員工的責任及條件也有不同，但我們也希望能聽到不同的聲音，因為這些意見就如機器各的小螺絲，主宰著數碼轉型的成敗。」他舉例新的管理系統，將有助集團清楚掌握酒店業務中的散工情況，「以往主要靠人手記錄上班時間，所以可能有一些慣常炒散的員工，其實是較適合以兼職合約僱用。」新系統便能自動提供同事去留意這些問題，令員工架構更清晰透明，同時亦有助減少煩複的表格遞交手續。 今年年底 ERP 系統完成轉型後，蔡宏興說集團下一步將會輪到改革項目管理系統，他說華懋集團的主力業務是地產發展及項目管理，所以希望可以透過新系統，幫助前線員工掌握更多的資訊，利用透過大數據分析，更靈活地利用收集到的數據。面對著許多新科技，蔡宏興說管理層需要好好改變心態，才能在競爭日趨激烈的環境中，讓集團拓展業務。他以 AirBnB 為例，對方並未擁有一間客房，但憑著科技支援，讓公司的訂房業務發展得比傳統酒店更大，這毋疑給傳統企業帶來很大的衝擊。「又如共享辦公室概念已不是純粹的租用辦公室，而是為客戶建立一個社區，幫助他們經營業務，這種做法都與華懋關心社會的核心文化很接近。」蔡宏興說所以公司會定期舉辦交流活動，就是需要收集集團員工更多創新的想法。…

早前報導佛羅里達州兩個巿政府齊受勒索軟件襲擊，兩個市政府最終決定交贖款了事，其中人口大約 12000 人嘅 Lake City 跪低向黑客支付 42 個 Bitcoin （約價值 46 萬美元）後，秋後算帳就正式開始，搵咗個 IT 主管出嚟問責，兼夾革職祭旗。究竟點解要佢揹呢隻鑊？ Lake City 乃佛羅里達州一個小市鎮，官方形容今次保安事故係連中三元（triple threat）。事源有個濕滑嘅同事收咗個有毒電郵，粗心大意地下載咗個受感染嘅檔案，引發連鎖反應：先中木馬程式 Emotet，引入另一個木馬 TrickBot…

人生有個豬隊友確係慘仔嘅，最慘如果係自己上司，有時都唔知點幫佢兜，搞到我都好想升高三個 key 同佢講，「你真係蠢唔係扮㗎喎！」唔知係咪開口中，早幾日 Mr. Smith 就遇到以上情況喇。 事緣上星期要測試 vendor 產品，分析吓有冇後門，其中一項要做 dynamic analysis，睇吓隻軟件有無喺過程中做啲古惑嘢。因為時間幾趕，所以成 team 人好快已有共識，就係利用一隻 open source 嘅工具，去 capture 軟件嘅網絡流量做分析，同時用不同嘅 軟件（當然都係快靚正嘅 open…

每年 Amazon Web Services（AWS）都會於全球 35 個城市，舉辦 AWS Summit 峰會。香港站已於上星期完滿結束，峰會當日吸引了二千多名 IT 從業員參加，同場更有 40 家 AWS 合作夥伴開設展區，展示所提供的雲端應用服務。峰會的主題演講不單詳盡介紹了 AWS 的各種服務，更邀請了美聯物業、中華電力等機構出席，分享其借助 AWS 的數碼轉型歷程。 自從…

漠視意見，只會帶來嚴重嘅後果。就好似宿命一樣，但凡有漏洞唔解決，就一定會俾黑客利用。Apple 都冇辦法擺脫呢個 Murphy’s Law，佢嘅 GateKeeper 漏洞冇解決，就出事喇…… 是咁的，今年初研究員 Filippo Cavallarin 發現 MacOS GateKeeper 存有漏洞，允許黑客繞過 Gatekeeper 安全機制，然後喺冇顯示冇通知嘅情況下執行惡意程式。最㷫嘅係，Filippo 通知咗 Apple 之後，Apple竟然漠視意見，一直唔修補呢個漏洞。Well，該研究員惟有將行動升級，喺上個月將呢個漏洞資料公開…… 呢個漏洞主要出自 Gatekeeper…

呢個方法唔得，咪試下另一個方法囉！呢句說話大家都講過唔少，同時間亦係黑客高手嘅處世態度，所以先可以創造咁多攻擊方法出嚟。最近有網絡安全研究員發現，黑客又喺釣魚電郵攻擊手法上加多重掩飾方法，通過 QR Code 將目標人物帶離公司嘅防禦系統，再利用心理盲點令對方輸入公司帳戶登入資料，雖然唔係百分百成功，但都係果句，試下無壞丫。 今次被研究員發現嘅 QRishing 攻擊手法，針對嘅攻擊對象係法國公司 Cofense 嘅僱客。攻擊首先由一般嘅釣魚電郵開始，目標人物會收到一封標題為 Review Important Document 嘅電郵，叫佢哋利用附件嘅 QR Code 去讀取一份重要嘅文件。如果目標人物用手機 scanner 跟住照做，黑客就會引導佢哋去到一個虛假嘅 SharePoint 登入網站，由於呢個網站係企業常用嘅內部管理系統，所以好易有目標上當，跟手輸入埋…

有網絡安全專家發現，專門中東地區攻擊燃油設施嘅黑客集團，正喺度開 turbo 收集亞太區供電設施嘅 ICS 系統登入身份，似乎準備大開殺戒！ 工業控制系統（Industrial Control System, ICS）掌管住全個國家嘅命脈，好似發電網、供水系統、水壩、運輸網絡、核電廠等設施，都係經過 ICS 管理，所以如果發生國家之間嘅戰爭，ICS 好自然會成為攻擊目標之一，可以造成斷水斷電斷物流，國家就會陷入一片混亂及恐慌。呢啲管理系統咁重要，黑客集團亦唔會放過攻擊機會，不過由於各工業採用嘅 ICS 系統及技術都有分別，投入嘅成本高，所以黑客集團通常只會瞄準一個地區或其中一個行業發動攻擊。不過，網絡安全研究組織 Dragos 嘅專家就發現，呢個潛限制已出現變化，其中一個俄羅斯黑客集團 XENOTIME ，開始由專注攻擊燃油區塊，擴闊至供電設施，出現跨區塊攻擊。 ICS 系統安全性癱瘓…